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Beschreibung 

Vorrichtung und Koppelgerat, so genannter Secure-Switch, zur 
Sicherung eines Datenzugrif f es 

Die Erfindung betrifft eine Vorrichtung und ein Koppelgerat, 
einen so genannten Secure-Switch, zur Sicherung eines Daten- 
zugriffes eines ersten Teilnehmers Oder mehrerer Teilnehmer, 
die in einem ersten Teilnetz eines Automatisierungsnetzes 
angeordnet sind, auf einen zweiten Teilnehmer oder mehrere 
Teilnehmer, die in einem zweiten Teilnetz eines Automatisie- 
rungsnetzes angeordnet sind. 

Teilnehmer kSnnen beispielsweise Server, Programmiergerate, 
Bedien- und Beobachtungstationen, Servicegerate zur Wartung 
oder Diagnose, Automatisierungsgerate, dezentrale Peripherie 
oder Feldgerate sein, z. B. Messumformer oder Stellglieder , 
die in einem gemeinsamen Automatisierungsnetz zur Obertragung 
von Daten miteinander verbunden sind. Sie sind Bestandteile 
eines Automatisierungssystems, das zur tJberwachung eines 
technischen Prozesses, z. B. eines Fertigungsprozesses / ein- 
gesetzt wird und an sich bekannt ist. Derartige Automatisie- 
rungsnetze wurden bisher hierarchisch in mehrere Ebenen ein- 
geteilt, z. B. Prozess-, Automatisierungs- und zentrale Leit- 
ebene. Dabei wurden Komponenten der jeweiligen Ebene tiber 
eine Datentibertragungseinheit, ein so genanntes Gateway , mit- 
einander verbunden. Automatisierungskomponenten der Prozess- 
ebene und/oder der Automatisierungsebene wurden horizontal 
mittels eines so genannten Feldbussystems und zur nachst 
hSheren Ebene, z. B. zur zentralen Leit- oder Steuerebene, 
vertikal mittels eines Ethernet-Bussystems miteinander ver- 
bunden. Feldbusse sind speziell auf die Erfordernisse der 
Automatisierungstechnik ausgerichtet . Kommunikationsmedien 
und Protokolle ftir Feldbusse sind in der Bttrowelt in der 
Regel nicht verbreitet. Da Zugriffe von der zentralen Leit- 
und Steuerebene auf die Automatisierungs- oder Feldebene nur 
tiber Gateways moglich waren, wurden Hackerangrif f e auf die 
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unteren Ebenen des Automatisierungsnetzes erschwert. Zu- 
nehmend erfolgt heute die horizontale Verbindung der Automa- 
tisierungskomponenten einer Ebene ebenfalls mittels eines 
Ethernet-Bussystems . Mit der zunehmenden Verbreitung von 
Ethernet auch auf den unteren Ebenen eines Automatisierungs- 
netzes wachsen die verschiedenen Ebenen enger zusammen und 
spezielle Gateways sind aus rein kommunikationstechnischer 
Sicht nicht langer notwendig. Damit sind Hackerangrif f e auch 
auf die unteren Ebenen eines Automatisierungsnetzes leichter 
m5glich. 

Ein weiterer Trend ist die zunehmende Verschmelzung von Buro- 
und Produktionsnetzen, die als Teilbereiche eines Automati- 
sierungsnetzes angesehen werden konnen. Daraus ergeben sich 
insbesondere aus sicherheitstechnischer Sicht neue Probleme. 
Ober das Biironetz in das Produktionsnetz eingetragene Sto- 
rungen der Automatisierungsgerate konnen den Produktionsbe- 
trieb unter Umstanden empfindlich stOren oder beeintrachti- 
gen. Die damit verbundenen Risiken, z. B. Produktionsausf alle 
bis hin zu Gefahren fur Menschenleben, sind oft deutlich h6- 
her als bei StSrungen, die auf ein Biironetz begrenzt sind. 
StSrungen des Produktionsnetzes vom Buronetz aus konnen bei- 
spielsweise hervorgeruf en werden durch Fehlbedienungen, z. B. 
wegen Angabe falscher IP-Adressen, Viren, Trojaner oder war- 
mer, die versuchen, sich uber Personal Computer des Btironet- 
zes im Netzwerk auszubreiten, und die dabei unter Umstanden 
auch den Bereich des Produktionsnetzes erreichen, weiterhin 
durch Mitarbeiter, die beispielsweise TCP/IP-Netzwerk-Tools 
ausprobieren oder durch Angriffe von Mitarbeitern innerhalb 
der automatisierungstechnischen Anlage, die, wenn sie passi- 
ver Natur sind, als Spionage und, wenn sie aktiver Natur 
sind, als Sabotage bezeichnet werden konnen. Es ist daher 
erforderlich, bestimmte Teile des Automatisierungsnetzes vor 
unerlaubten Zugriffen zu schtitzen. 

Aus der DE 101 24 800 Al ist es bekannt, funktions- und/oder 
geraterelevante Daten zwischen verschiedenen Geraten eines 
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Prozessautomatisierungssystems zumindest zum Teil ver- 
schltisselt auszutauschen. Dadurch soli eine flexible und zu- 
gleich sichere Handhabung ausgewahlter wichtiger Daten des 
Prozessautomatisierungssystems erm6glicht werden. Die Ver- 
schltisselung wird direkt in den Endgeraten vorgenommen. Dies 
erfordert eine grofiere Leistungsf ahigkeit aller Endgerate, 
die an einer verschltisselten Datentibertragung beteiligt sind. 

Auf der Internetseite unter der Adresse 
www. thought .net/ jason/bridgepaper/node9. html wurde am 
01.04.2003 ein Kapitel "bridging and IPsec" der Offentlich- 
keit zuganglich gemacht. Es wird eine Bridge beschrieben, die 
um IPsec-Fahigkeiten erweitert ist. Auf einer Seite der Brid- 
ge eingehende Nachrichten im Ethernet- Format werden entspre- 
chend dem IPsec-Protokoll, das auf Layer 3 des ISO-OSI 7- 
Schichten-Modells angesiedelt ist, verschlusselt auf der 
anderen Seite der Bridge ausgegeben und konnen so geschUtzt 
vor Zugriffen Ober einen unsicheren Netzwerkabschnitt tiber- 
tragen werden. Eine Anwendung auf Automatisierungsnetze ist 
nicht beschrieben. 

Der Erfindung liegt die Aufgabe zugrunde, eine Vorrichtung 
und ein Koppelgerat zur Sicherung eines Datenzugrif f s eines 
ersten Teilnehmers oder mehrerer Teilnehmer, die in einem 
ersten Teilnetz eines Automatisierungsnetzes angeordnet sind, 
auf einen zweiten Teilnehmer oder mehrere Teilnehmer, die in 
einem zweiten Teilnetz des Automatisierungsnetzes angeordnet 
sind, zu schaffen, die sich durch einen besonders geringen 
Auf wand auszeichnen. 

Zur LOsung dieser Aufgabe weist eine Vorrichtung der eingangs 
genannten Art die in Anspruch 1 angegebenen Merkmale bzw. ein 
Koppelgerat die in Anspruch 9 angegebenen Merkmale auf. In 
den abhangigen Ansprtlchen sind vorteilhafte Weiterbildungen 
der Erfindung beschrieben. 
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Unter dem Begriff "Tunnel" wird im Zusammenhang dieser Erfin- 
dung eine Verbindung zwischen zwei oder mehr Teilnehmern des 
Automat i si erungsnetzes verstanden, die beztiglich Authentizi- 
tat, Integritat und/oder Vertraulichkeit eine in vorteilhaf- 
ter Weise sichere DatenUbertragung gewahrleistet . Durch den 
Tunnel werden die gesamten Telegrammdaten, also Nutzdaten und 
Header-Informationen eines Telegramms, gesichert tibertragen. 
Zum Aufbau eines Tunnels sind gemeinsame Geheimnisse (Shared 
Secrets) notwendig. Wird der Tunnel zwischen zwei Partnern 
aufgebaut, so mussen beide Partner das gleiche Shared Secret 
oder ein zueinander passendes Public/Private-Key-Paar besit- 
zen. Soli der Tunnel auf mehr als zwei Partner (globaler Tun- 
nel) ausgedehnt werden, so mtissen beispielsweise Shared Keys 
auf alle beteiligten Teilnehmer verteilt werden. Im Falle der 
Verwendung von Public/Private-Keys mussen bei mehr als zwei 
Partnern alle Partner untereinander derartige Schlttsselpaare 
besitzen. Bei der Ver- oder Entschlusselung von Daten muss 
das jeweils far den aktuellen Partner geltende Schlttsselpaar 
herangezogen werden. Die Verwendung von Public/Private-Key- 
Paaren ist allerdings besonders in grofleren Systemen eher 
kompliziert und aufwendig. Im Falle eines Shared Secrets ist 
das Verfahren einfach, da alle Teilnehmer den gleichen 
SchlUssel besitzen, der fttr alle Teilnehmer verwendbar ist. 

Die Erfindung erlaubt neben der Entkopplung von Btironetz und 
Produktionsnetz zudem einen aufwandsarmen Schutz von Teilnet- 
zen, z. B. Automatisierungszellen, innerhalb des Produktions- 
netzes. Dadurch sind unbeabsichtigte Wechselwirkungen, wie 
sie z. B. in einer Inbetriebnahmephase von Teilabschnitten 
auftreten konnen, vermeidbar. Mogliche interne Angreifer, die 
Zugang zum Produktionsnetz bekommen, z. B. Mitarbeiter von 
Montagefirmen, werden in ihren MOglichkeiten zur St5rung des 
Automatisierungssystems deutlich eingeschrankt . 

Die Realisierung eines Tunnel endpunktes erfolgt in einem 
Switch mit Software und/oder Hardwaremodulen. Dieser tiber- 
nimmt eine Stellvertreterfunktion ftir Gerate, die nicht 
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selbst in der Lage sind, einen Tunnel endpunkt zu realisieren. 
Damit ist die Vorrichtung zur Sicherung eines Datenzugrif f s 
in vorteilhafter Weise ruckwirkungsf rei in bereits bestehen- 
den Automatisierungsnetzen anwendbar. Rtickwirkungsf rei be- 
deutet in diesem Zusammenhang, dass die Teilnehmer des beste- 
henden Netzwerks nicht beztlglich ihrer Adressierung, des 
jeweiligen Subnetzes oder ihrer Parametrierung geandert wer- 
den miissen. Dazu erfolgt die Zuordnung des Tunnels zum je- 
weiligen Teilnehmer in vorteilhaf terweise anhand der jewei- 
ligen Teilnehmeradresse, das heifit anhand der Adresse des 
bzw. der Teilnehmer, fur den bzw. die der Tunnel stellvertre- 
tend durch die Vorrichtung aufgebaut wird. Vorzugsweise wird 
als Teilnehmeradresse eine IP-Adresse verwendet. Alternativ 
kann hierzu die Ethernet-MAC-Adresse verwendet werden. Die 
Entscheidung, welcher Tunnel bei einer gewtinschten Datenuber- 
tragung zu verwenden ist, wird also anhand der Adressen der 
beteiligten Endgerate vorgenommen. Bei IP-fahigen Teilnehmern 
kann das die IP-Adresse sein, bei Geraten, die tlber Ebene-2- 
Protokolle kommunizieren, die MAC-Adresse. Die fur den Tun- 
nelaufbau erf orderlichen Ressourcen werden nur im vorgeschal- 
teten Switch benotigt, so dass die dahinter befindlichen 
Teilnehmer oder Teilnetze mit geringeren Ressourcen auskom- 
men. Zudem kann in geschalteten Netzwerken, so genannten 
Switched Networks, ein ohnehin vorhandener Switch durch einen 
Secure-Switch zur Sicherung des Datenverkehrs ersetzt werden. 
Der Einsatz der Erfindung ist dann mit einem besonders gerin- 
gen Aufwand verbunden. 



Aufgrund der Verwendung eines Secure-Switches als Stell- 
vertreter fur einzelne Teilnehmer oder iaehrere Teilnehmer, 
die sich in einem Teilnetz befinden, lasst sich die Vorrich- 
tung zur Sicherung eines Datenzugrif fs nachtraglich in beste- 
hende Netzwerke integrieren, ohne dass hierzu grefiere Um- 
stellungen der Teilnehmerparametrierung erforderlich waren. 
Die Automatisierungsgerate, die unter Umstanden Altgerate 
sein konnen und uber geringe Leistungsressourcen verftigen, 
kSnnen unverandert bleiben. Lediglich die Secure-Switches als 
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Stellvertreter mtissen aufeinander abgestimmt werden. Neben 
dem Aspekt der Weiterverwendbarkeit der Altgerate kann diese 
Eigenschaft beispielsweise auch dann von Bedeutung sein, wenn 
die Parametrierung auf den Automatisierungsgeraten selbst 
nicht mehr verandert werden darf, z. B. weil sie von Prtif- 
stellen abgenommen wurden und Anderungen neue Priifungen oder 
Nachweise erfordern wtirden. Durch den Secure-Switch als 
Stellvertreter werden die nachgeschalteten Teilnehmer vom 
unsicheren Netz getrennt. Sie kSnnen in der Regel Kommunika- 
tion von aufien liber die Tunnel ohne Weiteres akzeptieren. Bei 
anderer Koiamunikation muss jedoch geprtift werden r ob sie fiir 
die Teilnehmer zugelassen ist. Diese Prufung erfordert Re- 
ssourcen. Zudem konnen viele Broadcast-Telegramme oder zu- 
satzliche Belastungen beispielsweise aufgrund von UDP-Flood- 
15 ing-Angrif f en aus dem Btironetz zu erheblicher Last am Tun- 

nelendpunkt ftlhren* Wird der Tunnel endpunkt im Secure-Switch 
als Stellvertreter realisiert, so failt die Last bei diesem 
an. Die Ressourcen der nachgeschalteten Teilnehmer kSnnen im 
Automatisierungsnetz weiterhin vollstandig ftir die automati- 
20 sierungstechnischen Funktionen genutzt werden. Wtirde die Last 
bei diesen Teilnehmern bewaitigt werden mlissen, konnten sie 
bei der Erfiillung ihrer automatisierungstechnischen Funk- 
tionen beeintrachtigt werden und schlimmstenf alls ausf alien. 
Ohne Stellvertreter waren die Automatisierungsgerate als 
Netzwerkteilnehmer direkt am unsicheren Netz sichtbar und 
daher auch angreifbar. Bei Fehlern in der Implementierung 
eines auf den Teilnehmern selbst abgewickelten Tunnelproto- 
kolls konnten sie bei Angriffen in ihrer Funktion beeintrach- 
tigt werden. 

Da die Verwendung sicherer Tunnel nicht nur einen Zugriffs- 
schutz sondern zudem einen Schutz der Daten vor Abhoren und 
Veranderung (Privacy, Integrity) gewahrleistet, kann die 
Ubertragung der Daten beispielsweise zwischen zwei Secure- 
35 Switches tlber ein unsicheres Netz erfolgen. In diesem Bereich 
werden an die Sicherheit der Obertragungsmedien keine Securi- 
tyanforderungen gestellt. Paarweise Tunnel, das heifit Tunnel 
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zwischen zwei Teilnehmern, ermOglichen es, die einzelnen bi- 
lateralen Verbindungen beztiglich der Obertragungssicherheit 
voneinander zu trennen. Ein globaler Tunnel, das heifit ein 
Tunnel mit mehr als zwei Endpunkten, kann gegenttber einem 
5 paarweisen Tunnel zum Sparen von Ressourcen beitragen, die 
gerade in Automatisierungsgeraten oft begrenzt sind. Das 
Mischen paarweiser Tunnel und globaler Tunnel, das heiBt die 
gleichzeitige Existenz verschiedenartiger Tunnel, erm6glicht 
eine bessere Skalierung des Automatisierungsnetzes . Besonders 
10 wichtige Kommunikationsverbindungen werden liber paarweise 

Tunnel, weniger kritische Verbindungen tiber einen gemeinsa- 
men, globalen Tunnel eingerichtet . 



Da in der Automatisierungstechnik im Unterschied zur Buro- 
technik Netzwerke projektiert werden, k6nnen bei geeigneter 
Auslegung eines Proj ektierungstools aus dieser Projektierung 
eine Reihe von Parametrier- und/oder Konf igurierdaten fur den 
Secure-Switch abgeleitet werden. Far die Konf igurierung wer- 
den somit keine oder geringe IT-Kenntnisse eines Bedieners 
vorausgesetzt. Projektiert und/oder parametriert werden ttb- 
licherweise die Gerate des Automatisierungssystems und ihre 
Netzwerkverbindungen. Die Projektierung der Kommunikations- 
verbindungen ist notig, damit eine Kommunikation zwischen den 
Geraten ermoglicht wird. Aus der Projektierung des Netzes und 
der Kommunikationsteilnehmer lassen sich beispielsweise als 
Information ableiten: 



- welches Gerat kommuniziert mit welchem anderen Gerat, 

- welche Protokolle werden bei der Kommunikation benutzt, 
30 - in welcher Richtung erfolgt die Kommunikation und/oder 

- tiber welche gegebenenf alls alternativen Wege kann die 
Kommunikation ablaufen. 



Ein Projektierungstool kann so erweitert werden, dass auch 
35 die Sicherheitseinrichtungen und insbesondere der verwendete 
Secure-Switch projektiert werden. Wird der Secure-Switch in 
einer Verbindung zwischen zwei Teilnehmern platziert, so 
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lassen sich aus der Projektierung beispielsweise folgende 
Informationen zusatzlich ableitens 

- welche Netze und/oder Gerate befinden sich hinter dem 
Secure-Switch, 

- welche Gerate hinter dem Secure-Switch kommunizieren nit 
welchen Geraten hinter einem zweiten Secure-Switch, 

- welche Gerate hinter dem Secure-Switch sind selbst in der 
Lage, sichere Tunnel aufzubauen, so dass der Secure-Switch 
verschlUsselte Telegramme einfach weiterreichen kann. 

Aus solchen Informationen lassen sich fttr die Parametrierung 
des Secure-Switches Informationen ableiten wie: 

- zwischen welchen Secure-Switches und/oder Teilnehmern sind 
sichere Tunnel aufzubauen und welcher Art sind diese Tun- 
nelverbindungen (z^ B. Host zu Netz, Netz zu Netz, Host zu 
Host) , 

- zwischen welchen Secure-Switches und/oder Teilnehmern ist 
eine Authentif izierung notwendig und welche dieser Gerate 
mussen gemeinsame Geheimnisse besitzen oder auch wo werden 
welche Zertifikate bei einer zertif ikatsbasierten Authen- 
tifizierung benotigt und/oder 

- welche Sicherheitsregeln sind fur welche Verbindungen 
einzusetzen, 

Beispielsweise konnen Verbindungen von einem Programmiergerat 
zu einem Btirorechner im Btironetz ohne Sicherung betrieben 
werden, das heiilt die Daten werden vom Secure-Switch durch- 
geleitet, wahrend Verbindungen von einem Programmiergerat zu 
einer Automatisierungszelle tlber einen weiteren Secure-Switch 
zu sichern sind, das heiilt ein Tunnel zwischen den beiden 
Secure-Switches aufzubauen ist. 

Die Verwendung des Layer 3 (Network-Layer) des ISO-OSI 7- 
Schichten-Modells als Basis fUr das Tunnelprotokoll bietet 
den Vorteil der Kompatibilitat mit der in Automatisierungs- 
netzen vorhandenen Inf rastruktur . Damit kdnnen auch Ebene-2- 
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Pakete, wie sie in der Automatisierungstechnik zum Teil vor- 
kommen, getunnelt werden. 

Besonders vorteilhaft bietet sich die Realisierung eines 
Tunnel endpunkts durch einen Layer-3-Port mit IPsec-Protokoll 
eines Secure-Switches an, der als Ethernet-Switch ausgebildet 
ist. Damit wird ein aufierhalb der Automatisierungstechnik 
bereits weit verbreitetes und erprobtes Protokoll verwendet. 
Im Falle von IPsec als Basis fur das Tunnelprotokoll konnen 
Personal Computer mit tiblichen Betriebssystemen als Tunnel- 
endpunkt arbeiten. 

Prinzipiell konnte als Secure-Switch auch ein Layer 4-Switch 
eingesetzt werden, der einen Tunnelendpunkt mit einem Layer 
4-Protokoll realisiert, beispielsweise auf der Basis von SSL, 
Kerberos oder SSH anstelle des IPsec-Protokolls . Nattirlich 
mtissen auch hier zur ubertragung durch den Tunnel Ethernet- 
Pakete zuvor in IP-Pakete eingepackt werden, beispielsweise 
mit EtherIP, ehe sie durch das Security Protokoll, in diesem 
Fall SSL, Kerberos oder SSH, geschickt werden. 

Wenn der Secure-Switch zumindest einen Port besitzt, der als 
WLAN-Endpunkt ausgebildet und zur Realisierung eines Tunnel- 
endpunkts geeignet ist, kann Verdrahtungs auf wand und Platzbe- 
darf eingespart werden. Dabei werden durch das Konzept des 
Secure-Switches keine besonderen Security-Anforderungen an 
den WLAN-Endpunkt gestellt. Beispielsweise ist keine WEP 
(wired equivalent privacy) -Sicherheitsarchitektur fur den 
WLAN erforderlich, die eine Datenverschltisselung und evtl. 
eine Authentif ikation eines Teilnehmergerats gegenuber dem 
WLAN-Endpunkt ermSglicht. Selbstverstandlich konnen vorhan- 
dene Sicherheitsmechanismen im WLAN-Endpunkt, beispielsweise 
MAC-Adressenbeschrankungen, weiterhin beibehalten werden. 
Durch die Verwendung eines Tunnels kann der WLAN-Endpunkt nun 
aber uber sichere Kommunikationswege konfiguriert werden. Als 
Beispiel sei die Einstellung zuiassiger MAC-Adressen im WLAN- 
Endpunkt genannt. Das Tunnelende befindet sich vorteilhaft 
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zwischen dem WLAN-Endpunkt und der zentralen Switch-Matrix 
des Secure-Switches. 

In vorteilhafter Weise wird die konstruktive Ausgestaltung 
des Switches derart gewahlt, dass er far den Einsatz in einem 
Automatisierungs system geeignet ist. Je nach Einsatzfall wird 
er so ausgelegt, dass die erforderliche Schutzklasse, bei- 
spielsweise Staub-, Wasser- oder Explosionsschutz, eingehal- 
ten wird, Bei geeigneter Wahl der Bauform ist eine Hutschie- 
nen- oder Schrankmontage moglich. Vorteilhaft ist eine Strom- 
versorgung mit geringer Spannung, beispielsweise 24 V. 

Wenn ein zur Realisierung eines Tunnel endpunkts geeigneter 
Port von anderen Ports des Secure-Switches durch eine Mar- 
kierung unterscheidbar ist, so hat dies den Vorteil, dass die 
Verkabelung vereinfacht und Verkabe lungs fehler reduziert 
werden . 

Das Sicherheitsgeftihl eines Anwenders wird erhoht, wenn der 
Zustand durch eine visuell erkennbare Markierung angezeigt 
wird. Erlaubt ein Port eines Secure-Switches die ttbertragung 
von sicheren und unsicheren Telegrammen, so kann dieser mit 
einer umschaltbaren Markierung gekennzeichnet werden. 

Eine RealisierungsmSglichkeit ist beispielsweise eine farb- 
lich umschaltbare Leuchtdiode, die, wenn in der augenblick- 
lichen Konf iguration nur gesicherte Ubertragung erfolgen 
kann, grtin leuchtet, in einem anderen Fall, wenn in der au- 
genblicklichen Konf iguration gesicherte und ungesicherte 
Obertragung erfolgen kann, gelb leuchtet, und bei ausschliefi- 
lich ungesicherter Ubertragung auf rot schaltet. Neben der 
Konf igurationsanzeige kann auch eine dynamische Verkehrsan- 
zeige vorteilhaft sein, die, urn die Sichtbarkeit zu ver- 
bessern, mit geeigneter Veriangerung der Anzeigedauer arbei- 
tet. Beispielsweise kann jedes ungesichert tibertragene Paket 
durch eine kurz gelb leuchtende Leuchtdiode und jedes gesi- 
chert tibertragene Paket durch eine kurz grtin leuchtende 
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Leuchtdiode angezeigt werden. Bei Mischtlbertragung ergibt 
sich daraus ein Flackern der Leuchtdiode. FUr das Netzwerkma- 
nagement ist es zusatzlich vorteilhaft, wenn die Anzeige uber 
den Sicherheitszustand des Ports automatisch, beispielsweise 
uber SNMP-Protokoll, abfragbar ist. 

Anhand der Zeichnungen, in denen ein Ausfuhrungsbeispiel der 
Erfindung dargestellt ist, werden im Folgenden die Erfindung 
sowie Ausgestaltungen und Vorteile naher erlautert. 

Es zeigen: 

Figur 1 ein Blockschaltbild eines Automatisierungsnetzes 
und 

Figur 2 ein Blockschaltbild eines Secure-Switches. 

In Figur 1 ist der prinzipielle Aufbau eines Automatisie- 
rungsnetzes 1 dargestellt. Gezeigt sind im Wesentlichen die 
an der Kommunikation teilnehmenden Gerate, haufig als Teil- 
nehmer bezeichnet, und dazu erforderliche physikalische Ver- 
bindungen. Weitere Teile des Automatisierungssys terns in einer 
prozesstechnischen Anlage sind der Obersichtlichkeit wegen 
nicht dargestellt. Das Automatisierungsnetz 1 ist in dieser 
Darstellung unterteilt in ein Btironetz 2 und ein Produktions- 
netz 3. Diese Darstellung wurde in Anlehnung an die bisherige 
Situation gewahlt, in welcher Btironetz und Produktionsnetz 
voneinander getrennt ausgebildet und Uber ein Gateway mitein- 
ander verbunden waren. Uber das Btironetz eingetragene Hacker- 
angriffe konnten daher nur schwer in das Produktionsnetz ge- 
langen. In dem gezeigten Ausfuhrungsbeispiel sind Btironetz 2 
und Produktionsnetz 3 uber eine Leitung 4 direkt miteinander 
verbunden und damit quasi verschmolzen. Die Datentibertragung 
erfolgt in beiden Netzen beispielsweise mit Ethernet TCP/IP. 
Im Btironetz 2 befinden sich nicht prozessnahe Gerate, z. B. 
ein Server 5, BUro PCs 6, 7, 8 und 9, ein Bedien- und Beob- 
achtungsgerat 10 und Programmiergerat 11, die zum Teil einer 
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zentralen Leitebene der herkSmmlichen Struktur zugeordnet 
werden kdnnen. Prozessnahe Gerate, z. B. ein Automatisie- 
rungsgerat 12, ein Messumformer 13, ein Bedien- und Beobach- 
tungsgerat 14 und ein Programmiergerat 15 sind in dem Pro- 
duktionsnetz 3 angeordnet. Dem Bedien- und Beobachtungsgerat 
10 sowie dem Programmiergerat 11 ist ein Secure-Switch 16 
vorgeschaltet, der mit einem Secure-Port 17, das heifit einem 
Port, der zur Realisierung eines Tunnel endpunkts geeignet 
ist, an die Netzleitung 4 angeschlossen ist. Die Gerate 10 
und 11 sind an Ports 18 bzw. 19 des Secure-Switches 16 
angeschlossen, die keine derartige Sicherheitseinrichtung 
aufweisen miissen. Im Produktionsnetz 3 sind die Gerate 12, 13 
und 14 in einem Teilnetz 20 angeordnet und dazu mit Ports 21, 
22 bzw. 23 eines Secure-Switches 24 verbunden. Ein Secure- 
Port 25 des Secure-Switches 24 ist an die Verbindungsleitung 
4 des Automatisierungsnetzes 1 angeschlossen. Ein Secure- 
Switch 2 6 mit einem Port 27 und einem Secure-Port 28, der mit 
dem Programmiergerat 15 bzw. der Verbindungsleitung 4 verbun- 
den ist, ist dem Programmiergerat 15 vorgeschaltet . Zur Si- 
cherung der Datenubertragung zwischen dem Programmiergerat 
15, dem Automatisierungsgerat 12, dem Messumformer 13 und dem 
Bedien- und Beobachtungsgerat 14 ist zwischen dem Secure- 
Switch 24 und dem Secure-Switch 26 ein paarweiser Tunnel 29 
eingerichtet. Dieser Tunnel ist mit einem symmetrischen Ver- 
schlttsselungsverfahren realisiert, in welchem beide Secure- 
Switches 24 und 2 6 uber einen geheimen Schlttssel verfttgen. 
Ein globaler Tunnel 30 verbindet die Secure-Switches 24, 26 
und 16 miteinander, die uber ein gemeinsames Geheimnis zur 
Ver- und Entschltisselung der Telegramme verfttgen. Die Tunnel 
29 und 30 sind lediglich zur besseren Verdeutlichung in Figur 
1 getrennt von der Verbindungsleitung 4 dargestellt. Selbst- 
verstandlich werden durch Tunnel ttbertragene Telegramme ttber 
die Verbindungsleitung 4 ttbertragen. Der Messumformer 13 ist 
ein vergleichsweise einfaches Gerat mit geringer Rechenleis- 
tung und daher nicht selbst in der Lage, einen Tunnel endpunkt 
zu realisieren. Fttr dieses Gerat sowie fttr die beiden weite- 
ren, in dem Teilnetz 20 befindlichen Gerate 12 und 14 bildet 
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der Secure-Switch 24 einen Stellvertreter zur Tunnel endpunkt- 
realisierung. In entsprechender Weise tibernehmen auch die 
Secure-Switches 16 und 2 6 eine Stellvertreter funktion. Die 
Secure-Switches 16, 24 und 26 sind Layer-3-Switches, die zur 
Realisierung der Tunnelendpunkte das IPsec-Protokoll verwen- 
den. 



Zur Unters che i dung von den Ports 18, 19, 21, 22, 23 und 27, 
die wie ubliche Ports eines Switches nicht in der Lage sind, 
10 einen Tunnel endpunkt zu realisieren, sind die Ports 17, 25 
und 28 der Secure-Switches 16, 24 bzw. 26 mit einer farbli- 
chen Markierung, im gezeigten Ausfuhrungsbei spiel mit einer 
schwarzen Markierung, versehen. 

15 Alternativ zu dem dargestellten Ausfuhrungsbeispiel des Au- 
tomatisierungsnetzes 1 konnte der Switch 16 entfallen, wenn 
das Bedien- und Beobachtungsgerat 10 sowie das Programmier- 
gerat 11 selbst in der Lage waren, einen Tunnel endpunkt zu 
realisieren. In diesem Fall waren diese Gerate direkt an die 
20 Verbindungsleitung 4 angeschlossen und ein globaler Tunnel 
hatte jeweils einen Endpunkt beim Bedien- und Beobachtungs- 
gerat 10, beim Programmiergerat 11 sowie in gleicher Form, 
wie anhand Figur 1 zuvor beschrieben, bei den Secure-Switches 
24 und 26. Diese Variante hatte jedoch den Nachteil, dass die 
Ressourcen zur Realisierung eines Tunnel endpunkt s in den bei- 
den Geraten 10 und 11 benotigt warden, so dass fur ihre ei- 
gentlichen Funktionen der Automat isierungstechnik geringere 
Kapazitaten zur Verftlgung stttnden. Das gemeinsame Geheimnis 
musste dann bei alien Tunnelendpunkten, das heifit in den Ge- 
30 raten 10 und 11 sowie in den Secure-Switches 24 und 26 gehal- 
ten werden. 



35 



Durch die Verwendung des Switches 24 im Teilnetz 20 sind 
samtliche Verbindungen der Netzwerkteilnehmer, hier des Auto- 
matisierungsgerats 12, des Messumformers 13 und des Bedien- 
und Beobachtungsgerats 14 durch Punkt-zu-Punkt- Verbindungen 
realisiert. Eine derartige Struktur wird haufig als geschal- 



200305103 



10 



14 

tetes Netzwerk, insbesondere als Switched-Ethernet, bezeich- 
net. Zusammen mit anderen Mafinahmen erlaubt es diese, die in 
einer Automatisierungsumgebung geforderten Echtzeitbedingun- 
gen zu erftillen. 

Das Programmiergerat 11 dient im Automatisierungsnetz 1 als 
Projektierungstool, mit welchem neben der in Automatisie- 
rungsnetzen tiblichen Projektierung bei der Verwendung von 
Secure-Switches der Projekteur zusatzlich festlegt, in wel- 
chem Netz sich die Secure-Switches befinden und welche da- 
hinterliegenden Teilnehmer durch ihn geschutzt werden sollen. 
Diese Eingaben sind ftir einen Automatisierungstechniker in 
der Regel leicht vorzunehmen. Beispielsweise wird vor alle 
Gerate, die zu einer Produktionszelle gehSren, wie im ge- 
zeigten Ausfiihrungsbeispiel vor die Gerate 12, 13 und 14, ein 
Secure-Switch, hier der Secure-Switch 24, gesetzt. Mit dem 
Projektierungstool werden die Kommunikationspartner sowie 
deren Adressen, z. B. IP-Adressen, Netzwerkverbindungen, uber 
die diese Kommunikationspartner miteinander verbunden sind, 
20 Automatisierungsfunktionen und deren Kommunikation unterein- 
ander sowie die Position der Secure-Switches im Netzwerk 
festgelegt. Anhand dieser Festlegungen konnen fUr den Aufbau 
der Tunnel beispielsweise folgende Parameter automatisch er- 
mittelt werden: Adressen der einzelnen Tunnelendpunkte, mit 
welchen anderen Tunnelendpunkten muss ein bestimmter Tunnel- 
endpunkt Tunnel aufbauen, Erzeugung der Geheimnisse und/oder 
Zertifikate. 



15 



Durch Eigenschaften der Secure-Switches, Anwendungsprof ile 
30 oder durch projektglobale Einstellungen beim Anwender kann 
festgelegt werden, welche Ports von Switches sicher sind, 
welches Tunnelprotokoll zu verwenden ist und/oder welche 
Sicherheitseinstellungen verwendet werden, z. B. Verschltlsse- 
lungsmethode, Integritatsschutzmethode, Authentif izierungs- 
35 methode, Gtiltigkeitsdauer der Schltissel usw. 
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Figur 2 zeigt den prinzipiellen Aufbau eines Secure-Switches 
40. Der Aufbau des Secure-Switches 40 ist ahnlich dem eines 
herkOmmlichen, so genannten manageable Switches, der Uber 
eine eigene IP-Adresse oder tiber eine zusatzliche, in Figur 2 
der ubersichtlichkeit wegen nicht dargestellte serielle 
Schnittstelle ansprechbar ist. Ports 41, 42, 43 und 44 sind 
"normale" Ports und in der bei herkommlichen Switches tibli- 
chen Weise ausgestaltet . Der Port 45 ist ein sicherer Port, 
ein so genannter Secure-Port, der in der Lage ist, einen Tun- 
nelendpunkt zur gesicherten Ubertragung von Daten zu einem 
anderen Tunnel endpunkt zu realisieren. Dazu wurde er gegen- 
uber einem herkommlichen Port vim einen so genannten Secure 
Channel Converter 4 6 erganzt. Ein weiterer Secure Channel 
Converter 47 befindet sich zwischen einer Switch-Matrix 48 
und einem WLAN- Endpunkt 49, der die Funktionen eines WLAN- 
Access-Point erftillt und mit welchem uber eine Antenne 50 
drahtlose Kommunikation mit einem Tunnelprotokoll durchge- 
fuhrt werden kann. Bezuglich der Sicherheitsfunktionen un- 
terscheidet sich dieser Port fur drahtlose Kommunikation 
nicht von dem drahtgebundenen Secure-Port 45, so dass es 
genUgt, die Funktionen des Secure-Switches 40 anhand des 
Secure-Ports 45 zu erlautern. Alle Telegramme, die aus dem 
Secure-Port 45 gesendet werden, durchlaufen den Secure 
Channel Converter 46. Ein Ethernet-Paket wird je nach Erfor- 
dernis gesichert, z. B. in ein IP-Paket uberftlhrt und mit dem 
IPsec-Protokoll gesichert. Danach ist das Telegramm wie ein 
normales Paket des Tunnelprotokolls aufgebaut und kann uber 
eine IP-Inf rastruktur, die beispielsweise auch Router ent- 
halt, transportiert werden. Die Sicherungsmechanismen verhin- 
dern unerlaubte Veranderungen und unerlaubtes Mithoren des 
Tunnelpakets . Im Empf angsbetrieb wird das Paket nach dem 
Empfang zunachst beispielsweise auf folgende Eigenschaften 
gepriif t : 

- ist die maximal zulassige Empfangsdatenrate uberschritten 
(DoS-Schutz) , 
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- ist das empfangene Telegramm vom Typ des Tunnelprotokolls, 
bei IPsec z. B. AH oder ESP, 

- stammt das Paket von einem berechtigten Sender (Authenti- 
f izierung) , 

- ist das Paket unverandert (Integritat) und/oder 

- wurde das Paket bereits empfangen (Replay-Schutz) ? 

Fallt eine dieser Prtifungen negativ aus, so wird das Paket 
verworfen und gegebenenf alls ein Logging-Eintrag fur eine 
Systemanalyse vorgenommen . 

Werden diese Prtifungen erfolgreich absolviert, so wird das 
Paket in entpackter Form, das heiJit in der ursprunglich durch 
den Teilnehmer gesendeten Form, an den Empfanger weitergelei- 
tet. Die Entpackung kann gegebenenf alls eine EntschlUsselung 
einschliefien. Im Secure-Switch kann das entpackte Paket zuvor 
optional weiteren Prtifungen im Sinne tiblicher Paketfilter un- 
terzogen werden. Dadurch ist es moglich, einen feiner abge- 
stuften Zugriffsschutz zu realisieren. Dieser basiert bei- 
spielsweise auf IP-Adressen, denen hier vertraut werden kann, 
da die Pakete tlber einen sicheren Tunnel angekommen sind. 
Nach den Prtifungen und dem Entpacken im S e cur it y- Channel - 
Konverter 46 wird das Paket in herkSmmlicher Weise uber die 
Switch-Matrix 48 an einen der Switch-Ports 41... 44 weiterge- 
leitet und so an den Empf angs teilnehmer ubergeben. 

Die Realisierung der Stellvertreterfunktion durch einen 
Secure-Switch hat gegenuber der Verwendung eines bekannten 
VPN-Routers beispielsweise den Vorteil, dass er fur den 
nachtraglichen Einbau in vorhandene flache Netze, wie sie in 
der Automatisierungstechnik haufiger anzutreffen sind, geeig- 
net ist. Ein VPN-Router wurde namlich eine Bildung von Sub- 
netzen erfordern, weiterhin eine spezielle Konf iguration auf 
den Teilnehmern, die sicher Uber den VPN-Tunnel kommunizieren 
wollen, da die IP-Adresse des VPN-Routers als Gateway bei 
alien Kommunikationspartnern eingetragen werden muss, und der 
VPN-Router kennte nur IP-Pakete tunneln. Ebene-2-Pakete, wie 
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sie in der Automatisierungstechnik zum Teil vorkommen, wtArden 
durch den VPN-Router daher nicht getunnelt und nach Einftihren 
von VPN-Routern im Automatisierungsnetz vglirden nicht mehr 
alle Protokolle funktionieren. Dagegen kann der beschriebene 
Secure-Switch 40 nahezu rtickwirkungsfrei in ein bestehendes 
Netzwerk integriert werden. Er arbeitet wie ein herkommlicher 
Switch, jedoch mit einem oder mehreren sicheren Ports. Damit 
benStigt er keine oder - je nach Realisierung - eine IP-Ad- 
resse, keine Subnetz-Bildung, keine Neukonf iguration der an 
der Kommunikation beteiligten Endgerate und der gesamte Ver- 
kehr ab Ebene 2 des 7-Schichten-Modells kann getunnelt wer- 
den. 
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Patentansprtiche 



10 



1. Vorrichtung zur Sicherung eines Datenzugrif f s eines ersten 
Teilnehmers (11) oder mehrerer Teilnehmer (12... 14), die in 
einem ersten Teilnetz (20) eines Automat is ierungsnetzes (1) 
angeordnet sind, auf einen zweiten Teilnehmer (15) oder meh- 
rere Teilnehmer (10, 11), die in einem zweiten Teilnetz des 
Automatisierungsnetzes (1) angeordnet sind, mit zumindest ei- 
nem so genannten Secure-Switch (16, 24, 26), der dem ersten 
Teilnehmer (11) bzw. den Teilnehmern (12... 14) des ersten 
Teilnetzes (20) vorgeschaltet ist, zum Aufbau eines so ge- 
nannten Tunnels (29, 30) zu dem zweiten Teilnehmer (15) bzw. 
den Teilnehmern (10, 11) des zweiten Teilnetzes, durch wel- 
chen Daten uber ein unsicheres Netzwerk gesichert ubertragbar 

15 sind, wobei der Secure-Switch (16, 24, 26) den Tunnel stell- 
vertretend fur den ersten Teilnehmer (11) bzw. stellvertre- 
tend fur die Teilnehmer (12... 14) des ersten Teilnetzes (20) 
aufbaut und den Tunnel diesem bzw. dies en anhand der 
jeweiligen Teilnehmeradresse zuordnet. 

20 

2. Vorrichtung nach Anspruch 1, dadurch gekenn- 
zeichnet, dass ein Projektierungstool (11) vorgese- 
hen ist zur Projektierung des Automatisierungsnetzwerks (1), 
durch welches Parameterdaten des Secure-Switches (16, 24, 26) 
automatisch erzeugbar und zum Secure-Switch ubertragbar sind. 

3. Vorrichtung nach Anspruch 1 oder 2, dadurch g e - 

kennzeichnet, dass der Secure-Switch (16, 24, 28) 

als Ethernet-Switch und zumindest ein Port (17, 25, 28) als 

30 Layer-3-Port zur Realisierung eines Tunnelendpunkts ausgebil- 
det ist. 

4. Vorrichtung nach Anspruch 3, dadurch gekenn- 
zeichnet, dass zur Realisierung des Tunnelendpunkts 

35 das IPsec-Protokoll anwendbar ist. 
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5. Vorrichtung nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, dass der Secure- 
Switch (40) zumindest einen Port (47, 49, 50) besitzt der als 
WLAN-Endpunkt ausgebildet und zur Realisierung eines Tun- 

5 nelendpunkts geeignet ist. 

6. Vorrichtung nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, dass der Secure- 
Switch konstruktiv far den Einsatz in einem Automatisierungs- 

10 system geeignet ist. 

7. Vorrichtung nach einem der vorhergehenden Ansprtiche, 
dadurch gekennzeichnet, dass ein zur 
Realisierung eines Tunnel endpunkts geeigneter Port (45) von 

15 anderen Ports (41... 44) des Secure-Switches (40) durch eine 
Markierung unterscheidbar ist. 

8. Vorrichtung nach Anspruch 7, dadurch gekenn- 
zeichnet , dass die Markierung umschaltbar ist. 

20 

9. Koppelgerat, so genannter Secure-Switch, zur Sicherung ei- 
nes Datenzugriffs eines ersten Teilnehmers oder mehrerer 
Teilnehmer, die in einem ersten Teilnetz eines Automatisie- 
rungsnetzes angeordnet sind, auf einen zweiten Teilnehmer 
oder mehrere Teilnehmer, die in einem zweiten Teilnetz des 
Automatisierungsnetzes angeordnet sind, wobei der Secure- 
Switch dem ersten Teilnehmer bzw. den Teilnehmern des ersten 
Teilnetzes vorschaltbar ist und eine Einrichtung (46), einen 
so genannten Secure Channel Converter, aufweist zum Aufbau 

30 eines so genannten Tunnels zu dem zweiten Teilnehmer bzw. den 
Teilnehmern des zweiten Teilnetzes, durch welchen Daten uber 
ein unsicheres Netzwerk gesichert tibertragbar sind, wobei der 
Tunnel stellvertretend fur den ersten Teilnehmer bzw. die 
Teilnehmer des ersten Teilnetzes aufbaubar ist und diesem 
bzw. diesen anhand der jeweiligen Teilnehmeradresse zuorden- 
bar ist. 



35 
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Zusammenf as sung 

Vorrichtung und Koppelgerat, so genannter Secure-Switch, zur 
Sicherung eines Datenzugrif fes 

Die Erfindung betrifft eine Vorrichtung und ein Koppelgerat, 
einen so genannten Secure Switch, zur Sicherung eines Daten- 
zugrif fs eines ersten Teilnehmers (11) auf einen zweiten 
Teilnehmer (12), wobei der Secure-Switch (16) einen Port (17) 
aufweist, der zur Realisierung eines Endpunkts eines Tunnels 
(30) zu dem zweiten Teilnehmer (12) ausgebildet ist, durch 
welchen Daten uber ein unsicheres Netzwerk sicher ubertragbar 
sind. Der Tunnelaufbau erfolgt im Secure Switch (16) stell- 
vertretend fur den nachgeschalteten ersten Teilnehmer (11). 
Das hat den Vorteil, dass Sicherheitsfunktionen nachtraglich 
in bestehende Netzwerke durch Einftlgen von Secure-Switches 
integriert werden kOnnen. 

Figur 1 



20 
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